Joomla!管理画面への不正アクセスを防ぐAdminExile

サイトのアクセス数が少ないから狙われることはないだろうと油断していたら、Joomla!サイトを狙った管理画面への不正アクセス攻撃を受けました。そこで、サイト改ざんの被害を防ぐために、AdminExileというエクステンションを入れました。

AdminExileは、管理画面のURLをカスタマイズしたり、連続的な管理画面へのログインミスを検知すると、そのアカウントを凍結し、管理者にメールで通知してくれるエクステンションです。ここでは、AdminExileの使い方をまとめます。

ダウンロード

AdminExileのページにアクセスしてDownloadのリンクを開いてAdminExileをダウンロードします。

インストール

管理画面の「エクステンション」→「管理」→「パッケージファイルのアップロード」を開いて、AdminExileのZIPファイルを選択して「アップロード＆インストール」します。

設定

 「エクステンション」→「プラグイン」の検索窓からadminexileで検索して、System - AdminExileのリンクを開きます。

URL Access Keyで管理画面のURLをカスタマイズします。デフォルトでadminexileという文字列が入っていますが、ウェブサイトとは全く無関係な文字列で自分が覚えやすいものにカスタマイズしましょう。

URL Access Keyを直すと、Your URLが変わります。このURLがAdminExileを有効にした後の管理画面のURLになります。AdminExileを有効にすると、元の administrator/index.php のURLは使えなくなります。Your URLを開いてブラウザのブックマーク（お気に入り）に登録しておきましょう。

最後にSystem - Admin Exileの状態を有効（✔）にします。

URL Access Keyを設定するだけでも管理画面への不正アクセスを防止することができます。ただし、一部の格安レンタルサーバでは、ブルートフォース攻撃によりサーバの負荷が急増すると、サーバ会社がそのサイト全体にアクセス制限をかける場合があります。

そうなる前に、AdminExileにブルートフォース攻撃元のIPアドレスを検知してメール通知するように設定しておき、攻撃元をブロックできるようにしておくことをお薦めします。